SGNL با جذب 30 میلیون دلار، انقلابی در امنیت شناسایی با تمرکز بر حقوق صفر ایستاده ایجاد کرد!

امروزه، امنیت هویت به عنوان “محیط جدید” در دنیای امنیت شناخته می‌شود. در دنیای خدمات ابری، که دارایی‌ها و برنامه‌های شبکه ممکن است بسیار گسترده باشند، بزرگترین آسیب‌پذیری‌ها اغلب مربوط به نشت و تقلب در اعتبارنامه‌های ورود به سیستم است. در این راستا، یک استارتاپ به نام SGNL رویکردی جدید را ارائه کرده که به اعتقاد خود، امنیت بیشتری را برای دسترسی به برنامه‌ها و موارد دیگر فراهم می‌کند. این رویکرد مبتنی بر مفهوم نوظهور عدم دسترسی مداوم است، جایی که دسترسی کاربر مشروط است و نه دائمی. به تازگی، SGNL اعلام کرده است که ۳۰ میلیون دلار تأمین مالی جدید به دست آورده است.

این تأمین مالی، که در قالب سری A انجام شده است، به رهبری Brightmind Partners صورت گرفته که یک سرمایه‌گذاری خطرپذیر جدید در حوزه امنیت سایبری است. همچنین، شرکت‌های Costanoa، Microsoft (از طریق M12) و Cisco Investments نیز در این دور از تأمین مالی شرکت کرده‌اند.

SGNL تاکنون ۴۲ میلیون دلار تأمین مالی جمع‌آوری کرده و در حالی که داده‌های PitchBook ارزش‌گذاری آن را ۱۰۰ میلیون دلار نشان می‌دهند، منابع ما می‌گویند که این رقم نادرست و بسیار پایین است. این شرکت هیچ جزئیاتی در مورد ارزش‌گذاری ارائه نداده است، اما SGNL در حال رشد است و ادعا می‌کند که دارای “چندین” مشتری بزرگ سازمانی است، از جمله یک مشتری که دارای “عملیات عمده رسانه، سرگرمی و فناوری” است و از SGNL برای تسهیل مدیریت دسترسی در محیط‌های ابری خود استفاده می‌کند.

این استارتاپ فهرستی از مشتریان خود را اعلام نکرده، اما به نمونه‌هایی از نقض‌هایی که ناشی از مشکلات امنیت هویت بوده‌اند اشاره کرده است. این نقض‌ها شامل مواردی از جمله MGM (با ۱۰۰ میلیون دلار) و T-Mobile (با ۳۵۰ میلیون دلار) است.

SGNL توسط Scott Kriz (مدیرعامل) و Erik Gustavson (مدیر محصول) تأسیس شده است. این دو قبلاً یک شرکت مدیریت دسترسی به هویت به نام Bitium را تأسیس کرده بودند که در سال ۲۰۱۷ توسط گوگل خریداری شد. Kriz گفت که در آنجا، او و تیمش مسئول نه تنها خدمات دایرکتوری برای محصولاتی مانند Google Workspace و Google Cloud Platform بودند، بلکه همچنین ساخت و نگهداری مدیریت دسترسی به هویت برای شرکت خود، به‌ویژه نحوه دسترسی کارکنان گوگل به داده‌ها نیز بر عهده داشتند.

در آنجا، Kriz و Gustavson متوجه شکاف‌هایی در نحوه مدیریت خدمات هویتی در ابزارهای دسترسی سازمانی شدند.

“در واقع، ما متوجه شدیم که یک راه‌حل گمشده در امنیت هویت وجود دارد که نه تنها مختص گوگل، بلکه در سرتاسر صنعت است,” او گفت. “شرکت‌ها خواهان رسیدن به جایی بودند که دسترسی دائمی وجود نداشته باشد.”

به بیان دیگر، Kriz گفت که دسترسی به هویت نیازمند یک سطح از زمینه است: شما به رمزهای عبور نیاز دارید، اما همچنین به امتیازات دسترسی برای هر برنامه. “اما حتی در [خدمات]ی که این کار انجام می‌شد — Okta یکی بود، Microsoft دیگری — آنها در باز کردن درها بسیار خوب بودند. اما در بستن آن درها چندان مهارت نداشتند.”

Kriz گفت که چندین عامل مانع از این شده‌اند که شرکت‌های امنیتی بتوانند این دسترسی را محدود کنند. اولین مورد، عدم توافق بین فروشندگان برای یک استاندارد بوده است. این پیشرفت از سوی Atul Tulshibagwale، یکی از کارمندان سابق گوگل، به وجود آمد که مخترع CAEP (پروتکل ارزیابی دسترسی مداوم) است که زیرساخت SGNL را تشکیل می‌دهد. CAEP توسط بنیاد OpenID پذیرفته شده و Tulshibagwale هم‌اکنون CTO SGNL است.

“این پروتکل مختص ما نیست، اما ما کسی هستیم که آن را آغاز کردیم و اکنون در Microsoft، Apple، Cisco و بزرگترین شرکت‌ها مورد استفاده قرار می‌گیرد,” Kriz گفت.

دومین پیشرفت، منحصر به SGNL است و به نحوه ساخت آنچه که Kriz به عنوان “زمینه غنی” توصیف می‌کند، مربوط می‌شود. این به شرکت‌ها اجازه می‌دهد تا چندین سیاست دسترسی را تنظیم کرده و همچنین شرایط اضافی را که باید برآورده شوند تا کسی بتواند به یک برنامه خاص یا داده‌های دیگر دسترسی پیدا کند، تعیین کنند.

SGNL نه تنها ساختاری برای مجاز بودن (یا مسدود کردن) دسترسی ایجاد کرده بلکه همچنین آنچه را که به عنوان “بافت داده” توصیف می‌کند، یعنی گراف هویت، طراحی کرده است که به سیستم اجازه می‌دهد بدون وابستگی به منابع داده فردی که به روز باشند، کار کند. Kriz اشاره کرد که یکی از مشتریان آن ۴۰۰,۰۰۰ کارمند و ۳۰,۰۰۰ نقش در AWS داشت و این شرکت توانست این تعداد را به شش سیاست (به همراه چندین شرط مرتبط) کاهش دهد. (در مورد هوش مصنوعی در نام آن، این فناوری برای ساخت و مدیریت این بافت داده استفاده می‌شود.)

چندین شرکت بزرگ در حال بررسی بیشتر در زمینه عدم دسترسی دائمی هستند، از جمله CyberArt و SailPoint، به همراه تعدادی استارتاپ دیگر؛ اما این موضوع مانع سرمایه‌گذاران نشده است.

“من از این واقعیت خوشحالم که آنها یک شرکت تأسیس و از آن خارج شده‌اند و زمان قابل توجهی را در گوگل گذرانده‌اند. این موارد بسیار مهم هستند. آنها می‌دانند که چگونه شرکت‌های بزرگ کار می‌کنند,” گفت Stephen Ward، یکی از بنیانگذاران Brightmind (و خود سابقاً CISO Home Depot و متخصص امنیت دولتی بوده است). “این یک موضوع محبوب در دنیای سرمایه‌گذاری نیست، اما با ایده‌ای به این بزرگی، می‌توانید یک حصار بزرگ فقط از طریق ساخت پلتفرم ایجاد کنید.”